Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

PPPoE 用户会话锁定概述

PPPoE 用户会话锁定(也称为 PPPoE 封装类型锁定)可暂时阻止(锁定)失败或短暂的静态或动态 PPPoE 用户会话在一段时间内重新连接。此时间段(称为 锁定期)由公式派生而来,并根据连续重新连接失败的次数呈指数增长。

您可以为 VLAN、VLAN 多路分离 (demux) 和 PPPo-over-Ethernet-over-ATM (PPPoE-over-ATM) 动态用户接口配置 PPPoE 用户会话锁定,也称为 短周期保护

本概述介绍了配置 PPPoE 订阅者会话锁定时需要了解的概念,并涵盖以下主题:

使用 PPPoE 订阅者会话锁定的好处

PPPoE 用户会话锁定可提供以下优势:

  • 通过以下方式减少路由器上的过度负载:

    • 减少处理 PPPoE 控制数据包以协商和终止短期连接所需的资源

    • 减少为失败或短效的用户会话分配和解除分配服务所需的资源,例如 服务等级 (CoS) 和防火墙过滤器

    • 暂时推迟失败或短暂的订阅者会话,以支持可以成功完成的会话。

  • 减少外部身份验证、授权和核算 (AAA) 服务器(如 RADIUS 或 Diameter)上的过多负载:

    • 由于同一用户重复发生失败或短暂的 PPPoE 用户会话

    • 通过减少验证和终止这些连接所需的资源

  • 启用单个失败或短期 PPP 会话的锁定,而不会中断同一 PPPoE 底层接口上的其他 PPP 会话

    由于 PPPoE 用户会话锁定通过其在底层接口上的唯一媒体访问控制 (MAC) 源地址或其代理电路标识符 (ACI) 值来识别每个用户会话,因此路由器只能锁定有问题的 PPP 会话,同时启用同一底层接口上的其他 PPP 会话以成功协商连接。

导致 PPPoE 用户会话持续时间短的情况

可能导致订阅者会话持续时间短的情况包括:

  • 由于 RADIUS 数据库中没有相应条目或登录尝试不当,导致来自外部 AAA 服务器(例如 RADIUS)的身份验证被拒绝

  • 动态配置文件或 RADIUS 记录中的配置错误

  • 内存资源不足,无法创建动态 PPPoE 用户接口

  • 动态 PPPoE 用户接口内的协议故障或错误

  • 客户端在成功登录后不久注销;此作可在接口被拆除之前创建一个完整的动态 PPPoE 用户接口

PPPoE 用户会话锁定的工作原理

默认情况下,路由器上会禁用 PPPoE 用户会话锁定。启用 PPPoE 用户会话锁定后,路由器将执行以下作:

  1. 检测短寿命订阅者会话,也称为 短周期事件

    路由器会在 150 秒内检测到、部分或全部创建并终止短期订阅者会话。路由器通过其在 PPPoE 底层接口上的唯一 MAC 源地址或其 ACI 值来识别每个 PPPoE 用户会话。

  2. 跟踪重复短周期事件之间的时间,以确定是否增加后续短周期事件的锁定时间。

  3. 根据默认或配置的锁定期以及同一订阅者重复发生的连续短周期事件的数量,为每个短周期事件应用时间惩罚。

  4. 通过阻止连接到路由器,暂时锁定指定的 PPPoE 用户。

    在锁定期间,路由器会丢弃 PPPoE 用户会话的协商数据包,直到锁定期到期。锁定期到期后,PPPoE 用户会话及其关联的 MAC 源地址或 ACI 值将恢复连接的正常协商。

基于 ACI 的接口上的 PPPoE 用户会话锁定

默认情况下,路由器使用 PPPoE 底层接口上的唯一 MAC 源地址识别用户会话。您可以根据底层接口的 ACI 字符串配置用户会话锁定,这样您就可以锁定来自同一家庭的所有 PPPoE 用户会话。

ACI 字符串包含在 PPPoE 主动发现初始化 (PADI) 和 PPPoE 主动发现请求 (PADR) 控制数据包的 DSL 论坛代理电路 ID VSA [26-1](选项 0x105)中。此选项会锁定底层接口上在其 PPPoE PADI 和 PADR 控制数据包中共享相同 ACI 字符串的所有 PPPoE 用户会话。

当 MAC 源地址在 PPPoE 底层接口上不唯一时,基于 ACI 值的 PPPoE 用户会话锁定非常有用。例如:

  • PPPoE 互连功能会话,其中所有 PPPoE 互连功能会话的 MAC 地址都包含 DSLAM 设备的 MAC 地址

  • 出于安全目的,接入节点(通常是 DSLAM 设备)使用自己的 MAC 地址覆盖从客户端设备 (CPE) 接收的 PPPoE 数据包中的 MAC 源地址的配置

  • 在 N:1(服务 VLAN)配置中,不同家庭中存在重复的 MAC 源地址,这要求路由器使用 MAC 源地址和 ACI 值的组合来唯一标识用户

PPPoE 订阅者会话锁定和重复保护

当具有相同媒体访问控制 (MAC) 地址的 PPPoE 用户会话已在该接口上处于活动状态时,默认情况下,路由器上禁用重复保护可防止在同一 PPPoE 底层接口上激活另一个 PPPoE 用户会话。配置 PPPoE 用户会话锁定时,建议启用重复保护,以确保每个活动 PPPoE 会话的 MAC 源地址在底层接口上都是唯一的。

配置 PPPoE 用户会话锁定后,路由器可通过其唯一 MAC 源地址识别用户会话。如果路由器检测到短期(短周期)订阅者会话,则会将默认或配置的锁定期应用于该 MAC 源地址,以暂时阻止重新连接。如果 MAC 源地址在底层接口上不是唯一的,则具有相同 MAC 源地址的多个 PPPoE 用户会话也可能受到锁定的影响。

自动移除动态订阅者 VLAN 后,锁定条件持续存在

您可以通过在层次结构级别发出[edit interfaces interface-name auto-configure]remove-when-no-subscribers句来配置自动移除没有 PPPoE 客户端会话的订阅者 VLAN。如果接口上还配置了 PPPoE 用户会话锁定,则即使路由器移除了动态 VLAN 或 VLAN 多路分离用户接口,锁定条件仍会持续存在。

如果同时配置 PPPoE 用户会话锁定和自动移除没有客户端会话的用户 VLAN 功能,则受影响的用户会话的锁定条件将持续存在,直到底层接口上正在锁定的每个 PPPoE 客户端的锁定计时器到期。如果在所有计时器到期之前再次创建 VLAN 或 VLAN 多路分离用户接口,则新创建的用户接口的锁定条件将持续存在。

使用封装类型标识清除或显示锁定条件

您可以通过分别在 or clear pppoe lockout atm-identifier 命令中clear pppoe lockout vlan-identifier指定 VLAN 或 ATM 封装类型标识符选项来清除特定 MAC 源地址或 ACI 值、所有 MAC 源地址或 ACI 值,或与基于 UNIX 的正则表达式匹配的 ACI 值的锁定条件。同样,您可以通过在 or show pppoe lockout atm-identifier 命令中show pppoe lockout vlan-identifier包含封装类型标识符选项来显示有关锁定条件和受影响订阅者会话状态的信息。指定封装类型锁定标识符,以便在订阅者会话不存在底层接口时清除或显示锁定条件。

对于 VLAN 和 VLAN 多路分离用户接口上的 VLAN 封装类型,标识符选项包括:

  • 设备名称(物理接口或聚合以太网捆绑包)

  • S-VLAN ID(外部标记)

  • VLAN ID(内部标记)

对于 PPPoE-over-ATM 用户接口上的 ATM 封装类型,标识符选项包括:

  • 设备名称(物理接口或聚合以太网捆绑包)

  • 虚拟路径标识符 (VPI)

  • 虚拟电路标识符 (VCI)

锁定条件的终止

当由 ACI 值或唯一 MAC 源地址标识的 PPPoE 用户会话正在进行锁定时,锁定状态将持续到所有锁定计时器都过期为 止,除非 发生以下任一情况:

  • 您可以通过发出 clear pppoe lockout 作命令在管理上清除锁定条件。

  • 重置配置正在锁定的订阅者会话的接口模块。

清除锁定条件或重置接口模块时,路由器将终止底层接口上所有 PPPoE 用户会话的锁定,并清除所有受影响的用户会话的锁定历史记录。

相关文档